吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2554|回复: 6
收起左侧

挂个疑似病毒文件,求分析

[复制链接]
ZWHY 发表于 2021-2-25 17:26
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
100吾爱币
本帖最后由 ZWHY 于 2021-2-25 20:23 编辑

有谁帮忙分析下吗
链接: https://pan.baidu.com/s/1q7BAL7dUZoPngb0GnFpCKQ
提取码: 6qpr

最佳答案

查看完整内容

exe只是外层壳,里面有个远控,是DLL来的,抓到关键DLL的方法 00402307 | 68 CF070000 | push 0x7CF 0xCF是解密 KEY 0040230C | BE 78854000 | mov esi,408578 远控DLL地址 00402311 | 68 A34F0100 | push 0x14FA3 远控DLL的大小 00402316 | 56 | push esi ...

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

你与明日 发表于 2021-2-25 17:26
exe只是外层壳,里面有个远控,是DLL来的,抓到关键DLL的方法
00402307  | 68 CF070000          | push 0x7CF                              0xCF是解密 KEY
0040230C  | BE 78854000          | mov esi,408578                       远控DLL地址      
00402311  | 68 A34F0100          | push 0x14FA3                          远控DLL的大小      
00402316  | 56                           | push esi                                 
00402317  | E8 93EDFFFF          | call 0x4010AF                            解密CALL
0040231C  | 56                          | push esi                                    在此下断可对 408578 的DLL进行DUMP

sunning-H-C 发表于 2021-2-25 18:18
本帖最后由 sunning-H-C 于 2021-2-26 13:18 编辑

大佬来分析下~
 楼主| ZWHY 发表于 2021-2-25 19:37
sunning-H-C 发表于 2021-2-25 20:18
本帖最后由 sunning-H-C 于 2021-2-26 13:19 编辑

不客气,修改了就好
热心市民二狗 发表于 2021-2-26 11:02
sunning-H-C 发表于 2021-2-25 20:18
赶紧改一下吧,如果悬赏帖违规了悬赏的cb不退还

大哥是好人,爱了爱了
xcsghhz 发表于 2021-3-23 15:05
本帖最后由 xcsghhz 于 2021-3-23 15:06 编辑

这个程序会解密一个DLL然后调用,DLL在互联网下载一个程序并运行但是URL不见了所以下载失败;
然后会进行socket连接,接收与解密数据,应该就是楼上说的远控;
会拷贝自身到系统目录下,根据调试来看应该还存在另一个DLL,同样会进行伪装后拷贝到系统目录
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:27

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表